-
Diese
Erfindung betrifft ein elektronisches Steuerinformations-Umschreibesystem,
das einen nichtflüchtigen
Speicher aufweist, mit welchem ein elektrisches Umschreiben von
Daten möglich
ist, und betrifft insbesondere eine Technologie zum Verhindern des
unzulässigen
Umschreibens einer Steuerinformation, wie zum Beispiel von Fahrzeugsteuerprogrammen
oder Steuerdaten, die in dem nichtflüchtigen Speicher gespeichert
sind.
-
In
elektronischen Steuereinheiten (ECUs) zum Steuern von Fahrzeugmotoren
oder dergleichen ist eine Steuerinformation in einem nichtflüchtigen Speicher
gespeichert, mit welchem ein elektrisches Umschreiben von Daten
möglich
ist. Die Steuerinformation beinhaltet Programme und Daten und ist
auch nach Herstellung auf dem Markt umschreibbar.
-
Zum
Beispiel ist diese Art einer ECU aufgebaut, wie es in 9 gezeigt ist. Eine Umschreibevorrichtung 200 ist über einen
Fahrzeugdiagnoseverbinder 120 mit einem Fahrzeug 100 verbunden.
Eine Mehrzahl von ECUs 101, 102, 103 und 104 ist
in das Fahrzeug 100 eingebaut, und die ECUs 101 bis 104 sind
mit einer Netzleitung 110 verbunden. Die Umschreibevorrichtung 200 führt eine
Datenkommunikation mit einer der vier ECUs 101 bis 104 durch
Senden jedes ECU-Codes auf der Grundlage einer Manipulation eines
Bedieners durch.
-
In
diesem System wählt
die Umschreibevorrichtung 200, wie es in 10 gezeigt ist, zum Beispiel die ECU 101 aus,
auf welcher ein Umschreiben einer Steuerinformation auszuführen ist,
und sendet eine Umschreibeanforderung (b1). Die Auswahl der ECU 101 wird
durch Senden eines ECU-Codes ausgeführt. Dieser ECU-Code wird durch
einen Bediener in die Umschreibevorrichtung 200 eingegeben.
-
Wenn
dies getan ist, erzeugt die ausgewählte ECU 101 eine
Zufallszahl r (b2) und sendet diese Zufallszahl r zu der Umschreibevorrichtung 200 (b3).
-
Eine
Funktion f wird vorab in der Umschreibevorrichtung 200 gespeichert,
und diese berechnet einen Funktionswert f(r) bezüglich der gesendeten Zufallszahl
r (b4). Dann sendet sie diese berechnete Funktion f(r) (b5). In
der ECU 101 wird andererseits vorab eine Funktion F gespeichert
und wird ein Funktionswert F(f(r)) bezüglich des gesendeten Funktionswert
f(r) berechnet (b6). Dann sendet sie, wenn der berechnete F(f(r))
der Zufallszahl r entspricht, das heißt wenn f = F-1, ein Erlaubnissignal,
das ein Umschreiben zuläßt (b7).
-
Die
vorhergehende Verarbeitung ist für
die ECU 101, um zu bestimmen, daß die Umschreibevorrichtung 200 berechtigt
bzw. legitimiert ist, wenn die Umschreibevorrichtung 200 die
Umkehrfunktion f der Funktion F aufweist, die von der ECU 101 gespeichert
ist.
-
Die
Umschreibevorrichtung 200 sendet Änderungsdaten, wenn sie das
von der ECU 101 gesendete Erlaubnissignal empfängt (b8).
Die ECU 101 führt
ein Umschreiben einer Steuerinformation auf der Grundlage dieser Änderungsdaten
aus (b10). Wenn das Umschreiben einer Steuerinformation normal endet,
meldet die ECU eine normale Beendigung (b11), und die Umschreibevorrichtung
empfängt
die Meldung (b12) und eine Kette einer Umschreibeverarbeitung endet.
-
In
der vorstehenden Umschreibeverarbeitung bestimmt jede ECU durch
eine Kommunikationsverarbeitung (b1 bis b7) unter Verwendung der Funktion
f, welche eine Information innerhalb der Umschreibevorrichtung 200 ist,
die Berechtigung der Umschreibevorrichtung 200. Als Ergebnis
kann ein unberechtigtes Umschreiben einer Steuerinforma tion nicht
verhindert werden, wenn die Umschreibevorrichtung 200 selbst
gestohlen wird oder eine Information innerhalb der Umschreibevorrichtung 200 gestohlen
wird. Insbesondere ist zum Beispiel an einer Arbeitsstelle, wie
zum Beispiel einem Autohändler, die
Möglichkeit
des vorgenannten Diebstahls verhältnismäßig hoch,
da die Umschreibevorrichtung 200 vorgesehen ist.
-
Aus
dem Stand der Technik ist ein elektronisches Steuergerät zur Steuerung
des Betriebs eines Fahrzeugmotors wie etwa Zündzeitpunkt, Zündverweilzeit,
Emissionsmengen, Kraftstoffbedarf und anderer Gesichtspunkte wie
etwa des Getriebes und der Klimaanlage bekannt. Ein solches elektronisches Steuergerät ist programmiert,
um zu einem bestimmten Fahrzeugtyp zu passen, in welches es eingebaut ist,
so daß es
das Fahrzeug in Übereinstimmung
mit den individuellen Eigenschaften dieses Fahrzeugtyps steuert.
Um ein Problem dahin, daß ein
falsches Steuergerät
(z. B. ein für
einen anderen Fahrzeugtyp programmiertes Steuergerät) eingebaut
wird, wenn das Steuergerät
ausgetauscht wird, weil etwa während
Betriebs des Fahrzeugs ein Problem mit dem Steuergerät aufgetreten
ist, zu verhindern und um mit einem Problem dahin, daß eine große Anzahl
von Steuergeräten
gelagert werden müssen,
um eine hinreichende Anzahl von Steuergerät für jeden unterschiedlichen Fahrzeugtyp
zu haben, oder daß eine Reparaturwerkstatt
eine lange Zeit braucht, um ein neues Steuergerät vom Hersteller zu bestellen,
fertig zu werden, schlägt
die
US-A-5,473,540 ein elektronisches Steuergerät zum Steuern
des Betriebs eines Fahrzeugs vor, das angepaßt ist, um in Übereinstimmung
mit einer Steuerprozedur zu arbeiten und einen ersten Speicher,
welcher eine Mehrzahl von Steuerprozeduren enthält, und einen zweiten Speicher,
welcher einen oder mehrere Zeiger enthält, die angepaßt sind,
um eine Steuerprozedur aus dem ersten Speicher auszuwählen, wodurch
bewirkt wird, daß das Steuergerät in Übereinstimmung
mit der gewählten Steuerroutine
arbeitet, aufweist. In einem Gesichtspunkt dieser Druckschrift weist
eine Programmiervorrichtung zum Programmieren eines in einem unprogrammierten
oder teilweise programmierten Zustand in ein Fahrzeug eingebauten
Steuergeräts
eine Identifikationseinrichtung zum Identifizieren des Fahrzeugtyps,
in welches das elektronische Steuergerät eingebaut ist, eine Erzeugungseinrichtung
zum Erzeugen von für
den identifizierten Fahrzeugtyp geeigneten Programmdaten zur Verwendung
bei der Programmierung des elektronischen Steuergeräts und eine Übertragungseinrichtung
zum Übertragen
der erzeugten Programmdaten an einen Speicher des elektronischen
Steuergeräts
auf. In einem anderen Gesichtspunkt dieser Druckschrift ist eine
Vorrichtung zur Bereitstellung eines ersatzweisen oder umprogrammierten
elektronischen Steuergeräts
in einem Fahrzeug vorgesehen, wobei das elektronische Steuergerät einen
Speicher, in welchem sich speicherbare Programmdaten, auf welchen
der Betrieb des elektronischen Steuergeräts basiert, befinden, wobei
die Vorrichtung eine tragbare Programmiereinheit aufweist; einen
Programmierspeicher, welcher eine Mehrzahl von unterschiedlichen
Programmdaten enthält;
eine Einrichtung zum Identifizieren des Fahrzeugtyps; eine Einrichtung
zum Auswählen
von für
den identifizierten Fahrzeugtyp geeigneten Programmdaten aus dem
Programmierspeicher; und eine Einrichtung zum Übertragen der ausgewählten Programmdaten
an den Speicher des elektronischen Steuergeräts aufweist.
-
Es
ist deshalb eine Aufgabe der vorliegenden Erfindung, ein unberechtigtes
Umschreiben einer Steuerinformation auch dann zu verhindern, wenn
eine Umschreibevorrichtung oder eine Information innerhalb einer
Umschreibevorrichtung gestohlen wird. Die Aufgabe wird durch die
Merkmale des unabhängigen
Anspruchs gelöst.
-
Insbesondere
wird eine Umschreibevorrichtung zum Umschreiben von in einer elektronischen Steuereinheit
gespeicherten Steuerinformation während Kommunizierens mit einer
externen Vorrichtung vorgesehen, wobei die Umschreibevorrichtung
aufweist: eine Empfangseinrichtung zum Empfangen einer Umschreibegenehmigung
von der externen Vorrichtung; eine Steuerinformationssendevorrichtung zum
Erfassen der Steuerinformation von der externen Einrichtung nach
Ausführen
einer vorbestimmten Verarbeitung mit der elektronischen Steuereinheit
in Reaktion auf die Umschreibegenehmigung zum Senden der Steuerinformation
an die elektronische Steuereinheit; und eine Identifikationsinformationssendeeinrichtung
zum Senden einer Identifikationsinformation der Umschreibevorrichtung
an die externe Vorrichtung so, daß die externe Vorrichtung die
Umschreibegenehmigung sendet, wenn die Identifikationsinformation
passend ist.
-
Ein
Steuerinformations-Umschreibesystem, welches nicht Teil der vorliegenden
Erfindung bildet, weist eine Steuerzentrale zum Durchführen einer
Datenkommunikation mit der Umschreibevorrichtung auf. Die Steuerzentrale
könnte
zum Beispiel an einem zu einer Umschreibearbeitsstelle unterschiedlichen
Ort installiert sein. Eine Zugriffsinformation wird in der Steuerzentrale
gespeichert. Eine Identifikationsinformation und eine zugehörige Information
sind in der Umschreibevorrichtung gespeichert. Die Identifikationsinformation
könnte
eine Zahl oder dergleichen sein, die zum Identifizieren der Umschreibevorrichtung
einmalig bezüglich
der Umschreibevorrichtung ist. Die zugehörige Information ist eine Information,
die in Verbindung mit der Identifikationsinformation festgelegt
ist.
-
Für die Legitimitätsbestimmung
erfaßt
die Steuerzentrale die Identifikationsinformation und die zugehörige Information
der Umschreibevorrichtung in einer Datenkommunikation mit der Umschreibevorrichtung.
Dann sendet sie, wenn eine Zugehörigkeitsbeziehung
der zugehörigen
Information mit einer Zugehörigkeitsbeziehung übereinstimmt,
eine vorbestimmte Zugriffsinformation an die Umschreibevorrichtung.
Andererseits wird die vorbestimmte Zugriffsinformation nicht an
die Umschreibevorrichtung gesendet, wenn sie nicht übereinstimmt.
-
Das
heißt,
das System erzielt die folgende zweistufige Überprüfung.
- [1]
Die Steuerzentrale bestimmt die Legitimität der Umschreibevorrichtung
und sendet eine Zugriffsinformation an die Umschreibevorrichtung.
- [2] Die Umschreibevorrichtung führt eine Kommunikationstartverarbeitung
unter Verwendung dieser Zugriffsinformation aus, und jede elektronische
Steuereinheit bestimmt die Legitimität der Umschreibevorrichtung
auf der Grundlage der Kommunikationstartverarbeitung.
-
Daher
kann die Umschreibevorrichtung, wenn mindestens eine der Identifikationsinformation und
der zugehörigen
Information nicht vorab innerhalb der Umschreibevorrichtung gespeichert
ist, keine Zugriffsinformation von der Steuerzentrale erhalten.
Deshalb wird es, wenn die Umschreibevorrichtung oder eine Information
innerhalb der Umschreibevorrichtung gestohlen worden ist, von der
elektronischen Steuereinheit nicht bestimmt, daß die Umschreibevorrichtung
legitimiert ist. Daher wird ein Umschreiben einer Steuerinformation
nicht ausgeführt.
Als ein Ergebnis ist es auch dann, wenn die Umschreibevorrichtung
oder eine Information innerhalb der Umschreibevorrichtung gestohlen
worden ist, möglich,
zu verhindern, daß eine
Steuerinformation einer elektronischen Steuereinheit ungebührlich umgeschrieben
wird.
-
Die
vorstehenden und andere Aufgaben, Merkmale und Vorteile der vorliegenden
Erfindung werden aus der folgenden detaillierten Beschreibung, die
unter Bezugnahme auf die beiliegende Zeichnung vorgenommen wurde,
deutlicher ersichtlich. In den Zeichnungen ist:
-
1 ein Blockschaltbild, welches
ein Steuerinformations-Umschreibesystem zeigt, welches die Umschreibevorrichtung
gemäß der vorliegenden
Erfindung enthält;
-
2 ein Ablaufdiagramm, welches
eine Umschreibeverarbeitung in dem Umschreibesystem zeigt;
-
3 ein Flußdiagramm,
welches eine erste Hälfte
einer ECU-seitigen Verarbeitung in dem Umschreibesystem zeigt;
-
4 ein Flußdiagramm,
welches eine zweite Hälfte
einer ECU-seitigen Verarbeitung in dem Umschreibesystem zeigt;
-
5 ein Flußdiagramm,
welches eine erste Hälfte
einer umschreibevorrichtungsseitigen Verarbeitung in dem Umschreibesystem
zeigt;
-
6 ein Flußdiagramm,
welches eine zweite Hälfte
einer umschreibevorrichtungsseitigen Verarbeitung in dem Umschreibesystem
zeigt;
-
7 ein Flußdiagramm,
welches eine erste Hälfte
einer steuerzentralenseitigen Verarbeitung in dem Umschreibesystem
zeigt;
-
8 ein Flußdiagramm,
welches eine zweite Hälfte
einer steuerzentralenseitigen Verarbeitung in dem Umschreibesystem
zeigt;
-
9 ein Blockschaltbild, welches
ein Steuerinformations-Umschreibesystem im Stand der Technik zeigt;
und
-
10 ein Ablaufdiagramm, welches
eine Umschreibeverarbeitung im Stand der Technik zeigt.
-
Ein
Ausführungsbeispiel
der vorliegenden Erfindung wird nun in Bezug auf ein Umschreiben
einer Fahrzeugsteuerinformation beschrieben.
-
Unter
Bezugnahme zuerst auf 1 ist
eine Mehrzahl von ECUs 11, 12, 13 und 14 in
einem Fahrzeug 10 eingebaut, und die ECUs 11 bis 14 sind durch
eine Netzwerkleitung 15 verbunden. Die ECUs 11 bis 14 weisen
jeweilige EEPROMs 11a bis 14a auf, welche vom
nichtflüchtigen
Typ sind. Zu einem normalen Zeitpunkt wird, wenn eine Umschreibevorrichtung 20 nicht
verbunden ist, auf der Grundlage einer Steuerinformation (von Steuerprogrammen
und Steuerdaten), die in diesem EEPROM gespeichert sind, eine Kommunikation
zwischen den ECUs 11 bis 14 über die Netzwerkleitung ausgeführt und
werden jeweilige Steueurobjekte, wie zum Beispiel ein Motor bzw.
eine Brennkraftmaschine, gesteuert.
-
In 1 ist die Umschreibevorrichtung 20 als
mittels eines Fahrzeugdiagnoseverbinders 16 mit der ECU 11 verbunden
gezeigt, so daß ein
Steuerinformations-Umschreibesystem 1 ausgebildet ist.
Der Fahrzeugdiagnoseverbinder 16 ist ein in dem Fahrzeug 10 vorgesehener
Verbinder zum Ermöglichen einer
Datenkommunikation zwi schen der Umschreibevorrichtung 20 und
den ECUs 11 bis 14 über die Netzwerkleitung 15.
Das Fahrzeug 10 und die Umschreibevorrichtung 20 sind
an einer Arbeitsstelle, wie zum Beispiel einem Autohändler oder
einer Reparaturwerkstatt, aufgestellt.
-
In
dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels
ist die Umschreibevorrichtung 20 zu einer Datenkommunikation über ein
Telefonleitungsnetz 40 mit einer Steuerzentrale 30 imstande.
Die Steuerzentrale 30 ist als ein sogenannter Server als
eine externe Vorrichtung an einer zu der Arbeitsstelle unterschiedlichen
Stelle installiert. In einer Speichervorrichtung (einem Speicher) 31 dieser
Steuerzentrale 30 sind eine Zugriffsinformation für die Umschreibevorrichtung 20,
um auf die ECUs 11–14 zuzugreifen, Änderungsdaten
zum Umschreiben einer Steuerinformation, eine Datenbank zum Bestimmen
der Legitimität
der Umschreibevorrichtung 20 und eine Datenbank von Steuerinformations-Aktualisierungshistorien
von unterschiedlichen Fahrzeugen 10 gespeichert.
-
Wenn
die Umschreibevorrichtung 20 die Steuerzentrale 30 ruft,
wird eine vorbestimmte Kommunikationsverarbeitung zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 ausgeführt. Die Umschreibevorrichtung 20 und
die Steuerzentrale 30 nehmen einen derartigen Zustand an,
daß eine Datenkommunikation
möglich
ist. In 1 ist die Steuerzentrale 30 als
mit einer einzigen Umschreibevorrichtung verbunden gezeigt, aber
es ist ebenso vorstellbar, daß zum
Beispiel eine Umschreibevorrichtung einer anderen Arbeitsstelle
parallel mit der Steuerzentrale 30 verbunden ist.
-
In
diesem Ausführungsbeispiel
kann die Umschreibevorrichtung 20 ein tragbarer Personal-Computer
sein, welcher für
beliebige Typen von Fahrzeugen verwendet wird. Die Steuerzentrale 30 kann durch
einen Autohersteller verwaltet werden. Die Umschreibevorrichtung 20 kann
mittels einer anderen Einrichtung, wie zum Beispiel einem Kabelfernsehnetz
oder einem drahtlosen Telefonnetz, anstelle eines Festtelefonleitungsnetzes 40 mit
der Steuerzentrale 30 verbunden sein.
-
Die
Funktionsweise dieses Steuerinformations-Umschreibesystems 1 ist
in Blockeinheiten B1 bis B18 gezeigt. Die Verarbeitung in den ECUs 11 bis 14 ist
als eine ECU-seitige Verarbeitung in einer linksseitigen Spalte
in 2 als B5, B6, B9,
B10, B15 und B16 gezeigt. Die Verarbeitung in der Umschreibevorrichtung 20 ist
als umschreibevorrichtungsseitige Verarbeitung in einer mittleren
Spalte als B1, B4, B7, B8, B11, B14 und B17 gezeigt. Die Verarbeitung in
der Steuerzentrale 30 ist als steuerzentralenseitige Verarbeitung
in einer rechtsseitigen Spalte als B2, B3, B12, B13 und B18 gezeigt.
Diese Verarbeitung wird in der Reihenfolge B1 → B2 → B3 → ... → B18 ausgeführt.
-
Im
Betrieb ruft die Umschreibevorrichtung 20 zuerst die Steuerzentrale 30.
Wenn ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet ist, sendet die Umschreibevorrichtung 20 eine
Kennungsinformation als eine Identifikationsinformation zum Identifizieren
der Umschreibevorrichtung 20 selbst zusammen mit einer
Kommunikationsstartanforderung an die Steuerzentrale 30 (B1).
Bezüglich
diesen empfängt
die Steuerzentrale 30 die Kennungsinformation von der Umschreibevorrichtung 20 und
erfaßt
die Telefonnummer des ankommenden Anrufs, das heißt die Telefonnummer
der Umschreibevorrichtung 20 (B2). Diese Telefonnummer
ist eine zugehörige
Information.
-
Die
Steuerzentrale 30 weist eine Datenbank auf, in welcher
die Kennungsinformation der Umschreibevorrichtung 20 und
eine Telefonnummer, die der Umschreibevorrichtung 20 zugehörig ist,
in Zusammenhang gebracht werden. Demgemäß vergleicht die Steuerzentrale 30 die
Zugehörigkeitsbeziehung
zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer
mit einer Zugehörigkeitsbeziehung
in der Datenbank (B2). Wenn sie übereinstimmen,
sendet sie ein erstes Erlaubnissignal und eine Funktion f an die
Umschreibevorrichtung 20 (B3).
-
Die
Umschreibevorrichtung 20 wählt aus den ECUs 11 bis 14 eine
ECU als das Objekt einer Steuerinformationsumschreibung aus und
sendet eine Umschreibeanforderung an diese ECU (B4). Es wird hier
angenommen, daß die
ECU 11 als die ECU, die das Objekt einer Steuerinformationsumschreibung sein
soll, ausgewählt
worden ist. Die ausgewählte ECU 11 erzeugt
eine Zufallszahl r (B5) und sendet diese Zufallszahl r an die Umschreibevorrichtung 20 (B6).
-
Die
Umschreibevorrichtung 20 berechnet unter Verwendung der
Funktion f, die von der Steuerzentrale in dem vorstehenden B3 an
sie gesendet worden ist, einen Funktionswert f(r) bezüglich der
Zufallszahl r aus der ECU 11 (B7). Dann sendet sie diesen
berechneten Funktionswert f(r) zurück an die ECU 11 (B8).
-
Andererseits
wird vorab eine Funktion F in der ECU 11 gespeichert, und
sie berechnet bezüglich des
Funktionswerts f(r), der von der Umschreibevorrichtung 20 aus
gesendet wird, einen Funktionswert F(f(r)) (B9). Dann sendet sie,
wenn der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht,
das heißt,
wenn f = F–1 ist,
ein zweites Erlaubnissignal, das ein Umschreiben zuläßt, und
sendet einen Fahrzeug-VIN-Code (B10). Der Fahrzeug-VIN-Code ist eine
Zahl, die eindeutig jedem Fahrzeug zu geordnet ist, und diese entspricht
der vorstehenden Fahrzeuginformation.
-
Die
Umschreibevorrichtung 20 empfängt das zweite Erlaubnissignal
und den Fahrzeug-VIN-Code von der ECU 11 und sendet diese
Information an die Steuerzentrale 30 (B11).
-
Die
Steuerzentrale 30 weist jeweilige Steuerinformations-Aktualisierungshistorien
jedes Fahrzeugs als eine Datenbank auf. Demgemäß führt sie auf der Grundlage des
Fahrzeug-VIN-Codes von der Umschreibevorrichtung 20 ein
Unterscheiden des Fahrzeugs 10 aus, bezieht sich auf die
Aktualisierungshistoriendatenbank und bestimmt die Notwendigkeit
eines Umschreibens einer Steuerinformation (B12). Wenn sie bestimmt,
daß ein
Umschreiben einer Steuerinformation an dem Fahrzeug 10 erforderlich
ist, sendet sie Änderungsdaten
an die Umschreibevorrichtung 20 (B13).
-
Die
Umschreibevorrichtung 20 empfängt die Änderungsdaten von der Steuerzentrale 30 und
sendet diese Änderungsdaten
an die ECU 11 (B14). Die ECU 11 führt auf
der Grundlage der Änderungsdaten von
der Umschreibevorrichtung 20 ein Umschreiben einer Steuerinformation
durch (B15). Dann meldet sie, wenn das Umschreiben einer Steuerinformation normal
endet, eine normale Beendigung an die Umschreibevorrichtung 20 (B16).
Die Umschreibevorrichtung 20 löscht, wenn eine normale Beendigung von
der ECU 11 gemeldet wird, die Funktion f, die in dem vorhergehenden
B3 von der Steuerzentrale 30 an sie gesendet worden ist
(B17). Sie meldet eine normale Beendigung an die Steuerzentrale 30.
Auf der Grundlage dessen aktualisiert die Steuerzentrale 30 die
Aktualisierungshistoriendatenbank (B18).
-
Vom
Standpunkt der Sicherheit aus ist es bevorzugt, daß die Funktionen
f(r) und F(f(r)) von Fahrzeugtyp zu Fahrzeugtyp verschieden sind.
-
Für die vorstehende
Verarbeitung werden die ECUs 11 bis 14, die Umschreibevorrichtung 20 und
die Steuerzentrale 30 programmiert, um zu arbeiten, wie
es in den 3 bis 8 gezeigt ist.
-
Die
ECU-seitige Verarbeitung, die in den ECUs 11 bis 14 ausgeführt wird,
wird unter Bezugnahme auf die 2 und 3 erläutert. Diese ECU-seitige Verarbeitung
wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2
Sekunden, ausgeführt, wobei
die Umschreibevorrichtung 20 mittels des Fahrzeugdiagnoseverbinders 16 mit
dem Fahrzeug 10 verbunden ist.
-
Zuerst
wird in einem Schritt S300 bestimmt, ob es eine Umschreibeanforderung
von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn
bestimmt wird, daß es
eine Umschreibeanforderung gegeben hat (S300: JA) schreitet
die Verarbeitung zu S310 fort. Wenn andererseits bestimmt wird,
daß es
keine Umschreibeanforderung gegeben hat (S300: NEIN), wird
die ECU-seitige Verarbeitung beendet.
-
In S310 wird
bestimmt, ob ein Zugriffsverweigerungszeitgeber 0 ist oder
nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt, wenn
eine vorbestimmte Anzahl von Malen bestimmt wird, daß in Folge
die Umschreibevorrichtung 20 nicht legitimiert ist, wie
es vorstehend beschrieben worden ist. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht
0 ist (S310: NEIN), wird der Zeitgeber in S320 dekrementiert
und wird einer Variable C1 0 zugewiesen und wird diese ECU-seitige
Verarbeitung beendet. Die Variable C1 zählt die Anzahl von Malen in Folge,
in welchen bestimmt wird, daß die
Um schreibevorrichtung nicht legitimiert ist. Wenn andererseits bestimmt
wird, daß der
Zugriffsverweigerungszeitgeber 0 ist (S310: JA),
schreitet die Verarbeitung zu S330 fort.
-
In S330 wird
bestimmt, ob die Variable C1 größer als
2 ist oder nicht. Wenn hier C1 > 2
ist (S330: NEIN), wird in S340 der Zugriffsverweigerungszeitgeber
eingestellt und wird diese ECU-seitige Verarbeitung beendet. In
diesem Ausführungsbeispiel
werden 10 Minuten eingestellt. Wenn andererseits C1 ≤ 2 ist (S330:
JA), schreitet die Verarbeitung zu S350 fort.
-
In S350 wird
eine Zufallszahl r erzeugt und an die Umschreibevorrichtung 20 gesendet.
Diese Verarbeitung entspricht der Verarbeitung von B5 und B6 in 2. Bezüglich diesen wird, wie es in
B8 in 2 gezeigt ist,
ein Funktionswert f(r) von der Umschreibevorrichtung 20 ausgesendet.
-
Demgemäß wird in
dem folgenden S360 bestimmt, ob es ein Senden eines Funktionswerts
f(r) gegeben hat oder nicht. Wenn es hier ein Senden eines Funktionswerts
f(r) gegeben hat (S360: JA) schreitet die Verarbeitung
zu S370 fort. Andererseits wird, solange es kein Senden
eines Funktionswerts f(r) gegeben hat (S360: NEIN), diese
Bestimmungsverarbeitung wiederholt.
-
In S370 wird
bezüglich
des Funktionswerts f(r), der von der Umschreibevorrichtung 20 ausgesendet
wird, ein Funktionswert F(f(r)) berechnet. Diese Verarbeitung entspricht
der Verarbeitung von B9 in 2.
-
In
dem folgenden S380 in 4 wird
bestimmt, ob der berechnete Funktionswert F(f(r)) der Zufallszahl
r entspricht oder nicht. Wenn hier F(f(r)) = r ist (S380:
JA), werden in S30 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code
gesendet und schreitet die Verarbeitung zu S420 fort. Die
Verarbeitung von S380 und S390 entspricht der
Verarbeitung von B10 in 2.
Wenn andererseits F(f(r)) ≠ r
ist (S380: NEIN), wird in S400 an die Umschreibevorrichtung 20 gemeldet,
daß kein
Umschreiben zugelassen wird, und wird in S410 die Variable
C1 inkrementiert und diese ECU-seitige Verarbeitung beendet. Auf
diese Weise wird die Legitimität
der Umschreibevorrichtung 20 bestimmt. Wenn bestimmt wird,
daß sie
nicht legitimiert ist (S380: NEIN), wird die Variable C1
inkrementiert (S410) und wird bei C1 > 2 der Zeitgeber eingestellt, wie es vorstehend
beschrieben worden ist (S340 in 2). Daher wird in diesem Ausführungsbeispiel,
wenn durch C1 0 → 1 → 2 dreimal
in Folge bestimmt wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist, eine Zugriffsverweigerung
ausgeführt.
-
Durch
die Steuerzentrale 30 wird eine Bestimmung einer Notwendigkeit
eines Umschreibens einer Steuerinformation auf der Grundlage des
Fahrzeug-VIN-Codes ausgeführt.
Wenn ein Umschreiben notwendig ist, werden Änderungsdaten von der Steuerzentrale 30 aus über die
Umschreibevorrichtung 20 gesendet. Andererseits wird, wenn
ein Umschreiben nicht notwendig ist, das heißt, wenn ein Umschreiben einer
Steuerinformation bereits ausgeführt
worden ist, eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 aus über die Umschreibevorrichtung 20 gesendet.
-
Dafür wird in S420 bestimmt,
ob es eine Datenübertragung
von der Umschreibevorrichtung 20 aus gegeben hat oder nicht.
Wenn bestimmt wird, daß es
eine Datenübertragung
gegeben hat (S420: JA), schreitet die Verarbeitung zu S430 fort.
Andererseits wird, solange es keine Daten übertragung gibt (S420:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
Dann
wird in S430 bestimmt, ob die Daten, die von der Umschreibevorrichtung 20 aus
gesendet worden sind, Änderungsdaten
sind oder nicht. Wenn bestimmt wird, daß es Änderungsdaten sind (S430: JA),
schreitet eine Verarbeitung zu S440 fort. Wenn andererseits
bestimmt wird, daß es
keine Änderungsdaten
sind (S430: NEIN), das heißt, wenn eine Information,
die anzeigt, daß ein
Umschreiben durchgeführt
worden ist, gesendet worden ist, wird die nachfolgende Verarbeitung
nicht ausgeführt
und wird diese ECU-seitige Verarbeitung beendet.
-
In S440 wird
auf der Grundlage der gesendeten Änderungsdaten ein Umschreiben
einer Steuerinformation ausgeführt.
In dem folgenden S450 wird eine Steuerinformations-Prüfsumme nach
Umschreibung berechnet. Dies dient zum Bestimmen, ob die Steuerinformation
normal umgeschrieben worden ist oder nicht.
-
Dann
wird in dem nächsten S460 auf
der Grundlage der Prüfsumme,
die in S450 berechnet worden ist, bestimmt, ob das Umschreiben
einer Steuerinformation normal geendet hat oder nicht. Wenn bestimmt
wird, daß es
normal geendet hat (S460: JA) wird in S470 eine
normale Beendigung an die Umschreibevorrichtung 20 gemeldet
und wird danach diese ECU-seitige Verarbeitung beendet. Wenn andererseits
bestimmt wird, daß sie
nicht normal geendet hat (S460: NEIN), wird in S480 angefordert, daß die Umschreibevorrichtung 20 die Änderungsdaten
erneut sendet und wird die Verarbeitung von S420 wiederholt.
-
Nun
wird auf der Grundlage des Flußdiagramms
in 5 und 6 die umschreibevorrichtungsseitige
Verarbeitung beschrieben, die von der Umschreibevorrichtung 20 ausgeführt wird.
Diese umschreibevorrichtungsseitige Verarbeitung wird mit einer
vorbestimmten Manipulation, die von einem Bediener ausgeführt wird,
als einem Auslöser
ausgeführt,
nachdem ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst
wird in S500 bezüglich
der Steuerzentrale 30 ein Kommunikationsstart angefordert
und wird eine vorab gespeicherte Kennungsinformation gesendet. Diese
Verarbeitung entspricht der Verarbeitung von B1 in 2.
-
Die
Steuerzentrale 30 sendet, wenn sie bestimmt, daß die Umschreibevorrichtung
eine legitimierte ist, das erste Erlaubnissignal und die Funktion f.
Demgemäß wird in
dem folgenden S510 bestimmt, ob es eine Reaktion von der
Steuerzentrale 30 gegeben hat oder nicht. Wenn bestimmt
wird, daß es
eine Reaktion von der Steuerzentrale 30 gegeben hat (S510:
JA), schreitet die Verarbeitung zu S520 fort. Andererseits
wird, solange es keine Reaktion von der Steuerzentrale 30 gibt
(S510: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S520 wird
bestimmt, ob die Reaktion von der Steuerzentrale 30 eine
Meldung einer Nicht-Erlaubnis ist oder nicht. Wenn es bestimmt wird,
daß es eine
Meldung einer Nicht-Erlaubnis ist (S520: JA), wird in S530 auf
einer Anzeigevorrichtung, wie zum Beispiel einer Anzeige, angezeigt,
daß es
einen Fehlschlag gegeben hat, auf die Steuerzentrale 30 zuzugreifen.
Danach wird die Verarbeitung von S500 wiederholt. Andererseits
schreitet, wenn es keine Meldung einer Nicht-Erlaubnis gibt (S530:
NEIN), das heißt,
wenn das erste Erlaubnissignal und die Funktion f gesendet worden
sind, die Verarbeitung zu S540 fort.
-
In S540 wird
die Eingabe eines ECU-Codes zum Auswählen einer der vier ECUs 11 bis 14,
die in das Fahrzeug 10 eingebaut sind, von dem Bediener angefordert.
In dem folgenden S550 wird bestimmt, ob es die Eingabe
eines ECU-Codes
gegeben hat oder nicht. Wenn es bestimmt wird, daß es die
Eingabe eines ECU-Codes gegeben hat (S550: JA), schreitet
die Verarbeitung zu S560 fort. Andererseits wird, solange
es keine Eingabe eines ECU-Codes gibt (S550: NEIN), die
Verarbeitung von S540 wiederholt. Die folgende Beschreibung
wird unter der Annahme fortgesetzt, daß der ECU-Code der ECU 11 eingegeben
worden ist.
-
In S560 werden
eine Umschreibeanforderung und der ECU-Code gesendet. Diese Verarbeitung
entspricht der Verarbeitung von B4 in 2.
Auf der Grundlage dessen erzeugt die ECU 11 eine Zufallszahl
r und sendet diese Zufallszahl r (S350 in 3).
-
Demgemäß wird in
dem folgenden Schritt S570 bestimmt, ob eine Zufallszahl
r gesendet worden ist oder nicht. Wenn bestimmt wird, daß eine Zufallszahl
r gesendet worden ist (S570: JA), schreitet eine Verarbeitung
zu S580 fort. Andererseits wird, solange keine Zufallszahl
r gesendet wird (S570: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In S580 wird
unter Verwendung der Funktion f, die von der Steuerzentrale 30 in S510 gesendet wird,
ein Funktionswert f(r) berechnet, der für die Zufallszahl r spezifisch
ist. In dem nächsten S590 wird der
Funktionswert f(r) zu der ECU 11 gesendet. Dies entspricht
der Verarbeitung von B7 und B8 in 2.
-
Bezüglich diesen
wird in der ECU 11 eine bejahende Bestimmung in S360 in 3 durchgeführt und
wird der Funktionswert F(f(r)) berechnet (S370). Dann wird
auf der Grundlage der Bestimmung von S380 eine Übertragung
eines zweiten Erlaubnissignals oder eine Meldung, daß ein Umschreiben
nicht zugelassen wird, ausgeführt
(S390, S400).
-
Demgemäß wird in
dem folgenden S600 in 6 bestimmt,
ob es eine Reaktion von der ECU 11 gegeben hat oder nicht.
Wenn bestimmt wird, daß es eine
Reaktion von der ECU 11 gegeben hat (S600: JA)
schreitet eine Verarbeitung zu S610 fort. Andererseits
wird, solange es keine Reaktion von der ECU 11 gibt (S600:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S610 wird
bestimmt, ob ein zweites Erlaubnissignal von der ECU 11 gesendet
worden ist oder nicht. Wenn bestimmt wird, daß ein zweites Erlaubnissignal
gesendet worden ist (S610: JA), werden in S620 das
zweite Erlaubnissignal und der zusammen mit diesem zweiten Erlaubnissignal übertragene
Fahrzeug-VIN-Code an die Steuerzentrale 30 gesendet, und
danach schreitet die Verarbeitung zu S640 fort. Diese Verarbeitung
entspricht der Verarbeitung von B11 in 2. Wenn andererseits ein zweites Erlaubnissignal
nicht gesendet worden ist (S610: NEIN), das heißt, wenn
von der ECU 11 gemeldet worden ist, daß ein Umschreiben nicht zugelassen
werden wird, wird in S630 an die Steuerzentrale 30 gemeldet,
daß keine
Erlaubnis gegeben worden ist, und danach schreitet die Verarbeitung
zu 5530 in 5 fort.
-
Wenn
in S620 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code
an die Steuerzentrale 30 gesendet werden, bestimmt die
Steuerzentrale 30 die Notwendigkeit eines Umschreibens.
Wenn es eine Notwendigkeit eines Umschreibens gibt, sendet die Steuerzentrale 30 Änderungsdaten.
Wenn es andererseits keine Notwendigkeit eines Umschreibens gibt,
sendet die Steuerzentrale 30 eine Information, die anzeigt,
daß ein
Umschreiben durchgeführt
worden ist.
-
Demgemäß wird in S640 bestimmt,
ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder
nicht. Wenn bestimmt wird, daß es
eine Reaktion von der Steuerzentrale 30 gegeben hat (S640: JA),
schreitet die Verarbeitung zu S650 fort. Andererseits wird,
solange es keine Reaktion gibt (S640: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In S650 wird
bestimmt, ob die Daten, die von der Steuerzentrale 30 gesendet
worden sind, Änderungsdaten
sind oder nicht. Wenn sie Änderungsdaten
sind (S650: JA), schreitet die Verarbeitung zu S680 fort.
Wenn es andererseits keine Steuerdaten sind (S650: NEIN),
das heißt
wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 gesendet worden ist, wird
die Funktion f gelöscht
und es wird angezeigt, daß es
keine Notwendigkeit eines Umschreibens gibt (S660). Eine
Information, die anzeigt, daß das
Umschreiben durchgeführt
worden ist, wird an die ECU 11 gesendet (S670).
Diese Umschreibevorrichtungsseitige Verarbeitung ist dann beendet.
-
In S680 werden
die Änderungsdaten,
die von der Steuerzentrale 30 gesendet worden sind, an
die ECU 11 gesendet. Diese Verarbeitung entspricht der Verarbeitung
von B14 in 2. Auf der
Grundlage dessen wird in der ECU 11 ein Umschreiben einer Steuerinformation
ausgeführt
(S430 in 4:
JA, S440) und wird eine Meldung einer normalen Beendigung
oder eine Anforderung eines erneuten Sendens von der ECU 11 gesendet
(S470, S480).
-
Demgemäß wird in
dem nächsten S690 bestimmt,
ob es eine Meldung einer normalen Beendigung von der ECU 11 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Meldung einer normalen Beendigung
gegeben hat (S690: JA), wird die Funktion f gelöscht und
wird eine normale Beendigung an die Steuerzentrale 30 gemeldet
(S700), und danach wird diese umschreibevorrichtungsseitige
Verarbeitung beendet. Wenn es andererseits keine Meldung einer normalen
Beendigung gegeben hat (S690: NEIN), das heißt wenn
es eine Anforderung nach einem erneuten Senden der Änderungsdaten
gegeben hat, wird eine anomale Beendigung zu der Steuerzentrale 30 gemeldet
(S710) und diese umschreibevorrichtungsseitige Verarbeitung
beendet.
-
Weiter
fortschreitend wird auf der Grundlage des Flußdiagramms in 7 und 8 die
steuerzentralenseitige Verarbeitung, die von der Steuerzentrale 30 ausgeführt wird,
beschrieben. Diese steuerzentralenseitige Verarbeitung wird in einem vorbestimmten
Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei
ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst
wird in S800 bestimmt, ob der Zugriffsverweigerungszeitgeber
0 ist oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt,
wenn eine bestimmte Anzahl von Malen in Folge durch die Steuerzentrale 30 bestimmt
wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist, wie es
später weiter
beschrieben wird. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber
nicht 0 ist (S800: NEIN), wird in S810 der Zeitgeber
dekrementiert. Weiterhin wird 0 einer Variablen C2 zugewiesen und diese
steuerzentralenseitige Verarbeitung beendet. Die Variable C2 zählt die
Anzahl von Malen in Folge, in welchen durch die Steuerzentrale 30 bestimmt wird,
daß die
Umschreibevorrichtung 20 nicht legitimiert ist. Wenn andererseits
bestimmt wird, daß der Zugriffsverweigerungszeitgeber
0 ist (S800: JA), schreitet die Verarbeitung zu S820 fort.
-
In S820 wird
bestimmt, ob die Variable C2 nicht größer als 2 ist oder nicht. Wenn
hier C2 > 2 ist (S820:
NEIN), wird in S830 der Zugriffsverweigerungszeitgeber
eingestellt und danach diese steuerzentralenseitige Verarbeitung
beendet. Wenn andererseits C2 < 2
ist (S820: JA), schreitet die Verarbeitung zu S840 fort.
-
In S840 wird
bestimmt, ob es eine Kommunikationsstartanforderung gegeben hat
oder nicht. Diese Verarbeitung ist auf die Verarbeitung von S500 in 5 gerichtet. Wenn bestimmt
wird, daß es
eine Kommunikationsstartanforderung gegeben hat (S840:
JA) schreitet die Verarbeitung zu S850 fort. Andererseits
wird, solange es keine Kommunikationsstartanforderung gibt (S840:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S850 wird
die Kennungsinformation, die von der Umschreibevorrichtung 20 gesendet
wird, empfangen und wird die Telefonnummer des Ursprungs des Anrufs
erfaßt.
In dem folgenden S860 wird die Zugehörigkeitsbeziehung zwischen
der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit der
Zugehörigkeitsbeziehung
zwischen der Kennungsinformation und der Telefonnummer der Umschreibevorrichtung 20 verglichen,
die vorab in der Datenbank gespeichert werden. Die Verarbeitung
von diesen S850 und S860 entspricht der Verarbeitung,
die in B2 in 2 gezeigt
ist.
-
Als
nächstes
wird in dem nächsten S870 auf der
Grundlage des Vergleichsergebnisses bestimmt, ob die Zugehörigkeitsbeziehungen übereingestimmt haben
oder nicht. Wenn bestimmt wird, daß sie übereinstimmen (S870:
JA), werden in S890 das erste Erlaubnissignal und die Funktion
f gesendet und schreitet danach die Verarbeitung zu S900 fort.
Diese Verarbeitung entspricht der Verarbeitung von B3 in 2. Wenn andererseits bestimmt
wird, daß sie nicht übereingestimmt
haben (S870: NEIN), wird an die Umschreibevorrichtung 20 gemeldet,
daß kein Umschreiben
zugelassen wird, und wird die Variable C2 erhöht (S880) und wird
danach die Verarbeitung von S800 wiederholt.
-
Die
Verarbeitung von S850 bis S890, die hier erläutert worden
ist, entspricht der Verarbeitung, die als eine Legitimitätsbestimmungseinrichtung
dient. Deshalb führt
die CPU der Steuerzentrale 30 so eine Legitimitätsbestimmung
aus.
-
Wenn
das erste Erlaubnissignal und die Funktion f gesendet werden, sendet
die Umschreibevorrichtung 20 das zweite Erlaubnissignal
und den Fahrzeug-VIN-Code zurück
(S620 in 6)
oder meldet eine Nicht-Erlaubnis eines Umschreibens (S630).
-
Demgemäß wird in S900 bestimmt,
ob es eine Reaktion von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der
Umschreibevorrichtung 20 gegeben hat (S900: JA),
schreitet die Verarbeitung zu S910 in 8 fort. Andererseits wird, solange es
keine Reaktion von der Umschreibevorrichtung 20 gibt (S900:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S910 wird
bestimmt, ob eine Reaktion eine Meldung einer Nicht-Erlaubnis ist
oder nicht. Wenn es eine Meldung einer Nicht-Erlaubnis gewesen ist (S910:
JA), schreitet die Verarbeitung zu S800 in 7 fort. Wenn es andererseits keine Meldung
einer Nicht-Erlaubnis gewesen ist (S910: NEIN), das heißt wenn
das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet worden
sind, schreitet die Verarbeitung zu S920 fort.
-
In S920 wird
eine Unterscheidung des Fahrzeugs auf der Grundlage des gesendeten
Fahrzeug-VIN-Codes durchgeführt
und wird auf die Aktualisierungshistoriendatenbank Bezug genommen. Dann
wird im nächsten S930 auf
der Grundlage des Bezugsergebnisses bestimmt, ob es eine Notwendigkeit
zum Umschreiben einer Steuerinformation gibt oder nicht. Die Verarbeitung
von diesen S920 und S930 entspricht B12 in 2. Wenn bestimmt wird, daß es eine
Notwendigkeit eines Umschreibens gibt (S930: JA), schreitet
die Verarbeitung zu S950 fort. Wenn andererseits bestimmt
wird, daß es
keine Notwendigkeit eines Umschreibens gibt (S930: NEIN), wird
in S940 eine Information, die anzeigt, daß ein Umschreiben
durchgeführt
worden ist, gesendet, und danach wird diese steuerzentralenseitige
Verarbeitung beendet.
-
In S950 wird
nach Änderungsdaten
gesucht und werden diese ausgelesen und werden die ausgelesenen Änderungsdaten
an die Umschreibevorrichtung 20 gesendet. Diese Verarbeitung
entspricht der Verarbeitung von B13 in 2. Danach gibt es von der Umschreibevorrichtung 20,
wie es zuvor beschrieben worden ist, eine Meldung einer normalen Beendigung
(S700 in 6)
oder eine Meldung einer anomalen Beendigung (S710).
-
Demgemäß wird in S960 bestimmt,
ob es eine Beendigungsmeldung von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Beendigungsmeldung
gegeben hat (S960: JA), schreitet die Verarbeitung zu S970 fort. Andererseits
wird, solange es keine Beendigungsmeldung gibt (S960: NEIN),
diese Bestimmungsverarbeitung wiederholt.
-
In S970 wird
bestimmt, ob die Beendigungsmeldung eine Meldung einer normalen
Beendigung ist oder nicht. Wenn bestimmt wird, daß sie eine
Meldung einer normalen Been digung ist (S970: JA), wird in S980 die
Aktualisierungshistoriendatenbank aktualisiert und danach diese
steuerzentralenseitige Verarbeitung beendet. Andererseits wird,
wenn bestimmt wird, daß sie
keine Meldung einer normalen Beendigung ist (S970: NEIN),
das heißt
wenn sie eine Meldung einer anomalen Beendigung gewesen ist, die
Verarbeitung von S950 wiederholt.
-
Gemäß dem vorstehenden
Ausführungsbeispiel
wird die Funktion f, die eine Zugriffsinformation bildet, in der
Steuerzentrale 30 gespeichert. Lediglich dann, wenn die
Steuerzentrale 30 bestimmt, daß die Umschreibevorrichtung 20 eine
legitimierte ist, wird die Funktion f von der Steuerzentrale 30 an
die Umschreibevorrichtung 20 gesendet (B2, B3 in 2). Demgemäß ist auch
dann, wenn die Umschreibevorrichtung 20 oder eine Information
innerhalb der Umschreibevorrichtung 20 gestohlen wird,
die Zugriffsinformation zum Zugreifen auf die ECUs 11 bis 14 nicht in
der Umschreibevorrichtung 20 gespeichert. Deshalb ist es
nicht möglich,
die Steuerinformation der ECUs 11 bis 14 umzuschreiben,
wenn es nicht möglich
ist, eine Zugriffsinformation aus der Steuerzentrale 30 zu
erhalten.
-
Die
Steuerzentrale 30 weist eine Datenbank auf, in welcher
eine Kennungsinformation, die eindeutig der Umschreibevorrichtung 20 zugewiesen
ist, und eine Telefonnummer der Seite der Umschreibevorrichtung 20,
wenn eine Datenkommunikation über eine
Telefonleitung auszuführen
ist, im Zusammenhang gespeichert sind. Sie erfaßt eine Kennungsinformation
von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer,
von welcher der Anruf durchgeführt
wird (S850 in 7).
Wenn die Zugehörigkeitsbeziehung
zwischen dieser Kennung und der Telefonnummer mit der Zugehörigkeitsbeziehung übereinstimmt,
die in der Datenbank gespeichert ist (S860, S870:
JA), bestimmt die Steuereinrichtung 30, daß die Umschreibevorrichtung 20 legitimiert
ist und sendet die Funktion f, welche eine Zugriffsinformation ist
(S890). Wenn zum Beispiel eine Leitung zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 von woanders als einer regulären Arbeitsstelle verbunden
ist, ist die Telefonnummer, die die Steuerzentrale 30 erfaßt, nicht
mehr die vorab entschiedene Telefonnummer. Folglich entspricht sie
nicht der Kennungsinformation und kann die Zugriffsinformation nicht
von der Steuerzentrale 30 erhalten werden. Als Ergebnis
ist es nicht möglich,
die Steuerinformation in den ECUs 11 bis 14 umzuschreiben.
-
Wie
es vorstehend beschrieben worden ist, kann mit dem Steuerinformations-Umschreibesystem 1 dieses
Ausführungsbeispiels
auch dann, wenn die Umschreibevorrichtung 20 oder eine
Information innerhalb der Umschreibevorrichtung 20 gestohlen wird,
sicher verhindert werden, daß eine
Steuerinformation der ECUs 11 bis 14 ungebührlich umgeschrieben
wird.
-
Mit
den Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels
bestimmt die Steuerzentrale 30 zuerst die Legitimität der Umschreibevorrichtung 20 und
bestimmen dann die ECUs 11 bis 14 die Legitimität der Umschreibevorrichtung 20.
Wenn in irgendeiner dieser Überprüfungen von
zwei Stufen dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht
legitimiert ist, wird eine 10minütige
Zugriffsverweigerung ausgeführt.
-
Das
heißt,
in den ECUs 11 bis 14 wird, wenn bestimmt wird,
daß die
Umschreibevorrichtung 20 nicht legitimiert ist (S380:
NEIN in 4), die Variable
C1 erhöht
(S410). Wenn die Variable C1 größer als 2 wird (S330:
NEIN in 3), das heißt wenn
eine Bestimmung einer fehlenden Legitimation dreimal in Folge durchgeführt wird,
wird ein Zugriffsverweigerungszeitgeber eingestellt (S340).
Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(S310: NEIN), bis der Zeitgeber 0 wird.
-
Indessen
wird in ähnlicher
Weise ebenso in der Steuerzentrale 30, wenn bestimmt wird,
daß die Umschreibevorrichtung 20 nicht
legitimiert ist (S870: NEIN in 7), die Variable C2 inkrementiert (S880). Wenn
die Variable C2 größer als
2 wird (S820: NEIN), das heißt wenn eine Bestimmung einer
fehlenden Legitimation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber
eingestellt (S830). Somit wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(5800: NEIN), bis der Zeitgeber 0 wird.
-
Als
Ergebnis kann auch dann, wenn ein Versuch gemacht wird, auf die
Steuerzentrale 30 oder die ECUs 11 bis 14 von
der Umschreibevorrichtung 20 unter Verwendung einer nicht
legitimierten Information zuzugreifen, die Steuerinformationsumschreibeverhinderung
verhindert werden. Dies liegt daran, daß es aus dem Grund, daß ein Zugriff
für zehn
Minuten unmöglich
wird, wenn ein nicht legitimierter Zugriff dreimal in Folge ausgeführt wird,
nicht möglich ist,
viele Male in Folge zuzugreifen.
-
In
diesem Ausführungsbeispiel
speichert die Steuerzentrale 30 Änderungsdaten einer Steuerinformation.
Das heißt,
es gibt auch dann, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen
werden, keine Möglichkeit,
daß Änderungsdaten
nach außen
gelangen, da Änderungsdaten
nicht wie in der Vergangenheit in der Umschreibevorrichtung 20 gespeichert
werden.
-
Die
Steuerzentrale 30 sendet Änderungsdaten (S950)
mit einem zweiten Erlaubnissignal von den ECUs 11 bis 14, das
an sie als eine Bedingung gesendet worden ist (S910: NEIN).
Das heißt,
sie sendet Änderungsdaten,
wobei als eine Bedingung von den ECUs 11 bis 14 bestimmt
worden ist, daß die Umschreibevorrichtung 20 legitimiert
ist. Deshalb kann die Möglichkeit,
daß Änderungsdaten
nach außen
gelangen, weiter verringert werden.
-
Wenn
die ECUs 11 bis 14 bestimmen, daß die Umschreibevorrichtung 20 legitimiert
ist (S380: JA in 4),
senden sie zusätzlich
zu dem zweiten Erlaubnissignal einen Fahrzeug-VIN-Code, mit welchem
es möglich
ist, das Fahrzeug 10 zu bestimmen (S390). Die
Steuerzentrale 30 weist eine Datenbank von Aktualisierungshistorien
von Steuerinformationen auf, die in den ECUs 11 bis 14 von
unterschiedlichen Fahrzeugen 10 gespeichert sind, und sie
unterscheidet auf der Grundlage des zuvor erwähnten Fahrzeug-VIN-Codes aus
den ECUs 11 bis 14 das Fahrzeug 10 und
nimmt auf die Datenbank (S920 in 8) Bezug und bestimmt die Notwendigkeit
eines Steuerinformationsumschreibens (S930). Dann sendet
sie, wenn es eine Notwendigkeit eines Umschreibens gibt (S930:
JA), die Änderungsdaten
(S950).
-
In
diesem Ausführungsbeispiel
wird kein vergebliches Umschreiben einer Steuerinformation ausgeführt, da
die Steuerzentrale 30 die Steuerinformations-Aktualisierungshistorien
von Fahrzeugen 10 verwaltet. Als Ergebnis ist keine vergebliche
Arbeitszeit erforderlich und es geschieht nicht, daß ein erforderliches
Umschreiben aufgrund eines vergeblichen Umschreibens unmöglich wird.
-
In
der Steuerzentrale 30 wird die Steuerinformations-Aktualisierungshistoriendatenbank
automatisch aktualisiert (S980), wenn eine normale Beendigung
eines Umschreibens von den ECUs 11 bis 14 über die
Umschreibevorrichtung 20 gemeldet wird (S970:
JA in 8). Daher gibt
es keine Notwendigkeit, daß ein
Bediener die Datenbank durch eine manuelle Betätigung aktualisieren muß.
-
In
der Umschreibevorrichtung 20 wird, wenn die Funktion f,
die eine Zugriffsinformation bildet, nicht mehr erforderlich ist
(S650: NEIN, S690: JA in 6) , diese Funktion f, die eine Zugriffsinformation bildet,
schnell gelöscht
(S660, S700). Aufgrund dessen kann die Möglichkeit,
daß die
Funktion f, die als eine Zugriffsinformation dient, die von der
Steuerzentrale 30 an die Umschreibevorrichtung 20 gesendet wird,
aus der Umschreibevorrichtung 20 gestohlen wird, verringert
werden.
-
Diese
Erfindung ist in keiner Weise auf das offenbarte Ausführungsbeispiel
beschränkt,
sondern kann wie folgt auf verschiedene Weisen realisiert werden,
ohne den Umfang der Erfindung zu verlassen.
-
(1)
Die Steuerzentrale 30 kann eine Datenbank aufweisen, in
welcher eine Kennungsinformation von Umschreibevorrichtungen 20 und
Paßwörter in
Zusammenhang gebracht werden, und die Umschreibevorrichtung 20 kann
ein Paßwort,
das von einem Bediener eingegeben wird, zusammen mit der Kennungsinformation
senden. In diesem Fall entspricht das Paßwort einer zugehörigen Information und
bestimmt die Steuerzentrale 30 die Legitimität der Umschreibevorrichtung 20 auf
der Grundlage der Entsprechung zwischen der Kennungsinformation und
dem Paßwort,
das von der Umschreibevorrichtung 20 gesendet wird.
-
Die
Kennungsinformation kann ebenso auf die gleiche Weise wie das Paßwort von
einem Benutzer eingegeben werden. Wenn dies durchgeführt wird,
ist es auch dann, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen
wird, unmöglich, eine
Zugriffsinformation aus der Steuerzentrale 30 zu erhalten,
und ist es möglich,
das ungehörige
Umschreiben einer Steuerinformation auf die gleiche Weise wie in
dem Ausführungsbeispiel,
das zuvor beschrieben worden ist, zu verhindern, da das Paßwort oder
die Kennungsinformation und das Paßwort nicht bekannt sind.
-
Jedoch
ist es, da es ebenso eine Möglichkeit gibt,
daß die
Kennungsinformation oder das Paßwort auf
einen anderen Weg gestohlen wird, bevorzugt, eine Telefonnummer,
die mit dem Installationsort der Umschreibevorrichtung 20 verbunden
ist, wie in dem vorhergehend beschriebenen Ausführungsbeispiel zu der zugehörigen Information
zu machen. Dies ist so, da ein ungehöriges Umschreiben nicht an
einer regulären
Arbeitsstelle ausgeführt
werden kann.
-
(2)
Es ist vorstellbar, daß die
Datenkommunikation zwischen der Steuerzentrale 30 und der
Umschreibevorrichtung 20 vorübergehend beendet wird, nachdem
die Umschreibevorrichtung 20 die Zugriffsinformation von
der Steuerzentrale 30 erfaßt hat. Zum Beispiel ist es
vorstellbar, daß die
Datenkommunikation vorübergehend
beendet wird, nachdem die Datenkommunikation von B1 bis B4 in 2 beendet ist, und ein Zustand
einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und der
Steuerzentrale 30 erneut gebildet wird, wenn die Verarbeitung
von B11 fortschreitend ausgeführt
wird.
-
Jedoch
gibt es eine Möglichkeit,
daß eine
Zugriffsinformation, die von der Umschreibevorrichtung 20 gesendet
wird, gestohlen wird und auf die ECUs 11 bis 14 unter
Verwendung dieser Zugriffsinformation und unter Verwendung einer
anderen Umschreibevorrichtung zugegriffen wird.
-
Deshalb
ist es vorteilhaft, wenn die Steuerzentrale 30 und die
Umschreibevorrichtung 20, die sich in einem Zustand der
möglichen
Datenkommunikation befinden, zu einem Zustand eines Umschreibens
gemacht werden, bis die Kette einer Umschreibeverarbeitung (die
Verarbeitung von B1 bis B18, die in 2 gezeigt
ist) endet.
-
Insbesondere
könnte
die folgende Art eines Aufbaus angewendet werden. Das heißt, die
Umschreibevorrichtung 20 kann regelmäßig eine Reaktionanforderung
auf der Grundlage einer Zeitgeberunterbrechungsverarbeitung oder
dergleichen an die Steuerzentrale 30 senden, und die Steuerzentrale 30 kann
eine Reaktion durchführen.
Zu diesem Zeitpunkt führt
die Umschreibevorrichtung 20 kein Umschreiben der ECUs 11 bis 14 durch,
wenn eine Reaktion von der Steuerzentrale 30 unterbleibt,
bevor die Kette einer Umschreibeverarbeitung beendet ist. Wenn dies
durchgeführt
wird, wird es unmöglich,
von einer unterschiedlichen Umschreibevorrichtung aus unter Verwendung
einer gestohlenen Zugriffsinformation auf eine ECU zuzugreifen.
-
(3)
In dem Fall, in dem Steuerprogramme, die in der ECU 11 gespeichert
sind, aus irgendeinem Grund gestört
werden, sollte die Verarbeitung, die in 2 gezeigt ist, derart abgeändert werden,
daß derartige
Steuerprogramme umgeschrieben werden können.
-
In
diesem Fall liest die ECU 11 nach einem Ausführen von
B1 bis B9 in 2 eine
Prüfsumme von
seinem Steuerprogramm aus und sendet sie zusammen mit dem zweiten
Erlaubnissignal und dem VIN-Code an die Umschreibevorrichtung 20 (B10). Die
Umschreibevorrichtung 20 sendet eine derartige empfangene
Information an die Steuerzentrale 30 (B11). Die Steuerzentrale 30 bestimmt
auf der Grundlage des Vergleichs des VIN-Codes und der Prüfsumme zwischen dem
empfangenen und dem vorab gespeicherten, ob es notwendig ist, das
Steuerprogramm umzuschreiben (B12). Genauer gesagt bestimmt die
Steuerzentrale 30 die Version des Steuerprogramms in der
ECU 11 auf der Grundlage des empfangenen VIN-Codes und
bestimmt durch Überprüfen der
empfangenen Prüfsumme
des Steuerprogramms, ob das Steuerprogramm normal ist. Wenn die
Prüfsumme
sich von dem vorab gespeicherten Wert unterscheidet ist, bestimmt
sie, daß das
Steuerprogramm gestört
oder unterbrochen ist.
-
Wenn
die Steuerzentrale 30 auf der Grundlage des VIN-Codes bestimmt, daß die Version
des Steuerprogramms geändert
worden ist, sendet sie die Änderungsdaten
ungeachtet des Prüfsummenbestimmungsergebnisses
an die Umschreibevorrichtung 20 (B13). Wenn die Steuerzentrale 30 bestimmt, daß die Version
des Steuerprogramms nicht geändert
worden ist, aber das Steuerprogramm gestört ist, sendet sie das ursprüngliche
Steuerprogramm an die Umschreibevorrichtung 20. Daher kann
das Steuerprogramm in der ECU 11 erneuert werden. Es ist
natürlich
möglich,
Schlüsselworte
oder dergleichen, die innerhalb des Steuerprogramms vorgesehen sind, anstelle
eines Verwendens der Prüfsumme
zum Erfassen, ob das Steuerprogramm gestört worden ist, zu verwenden.